Ransomware REvil colpisce
più di 1.000 aziende

A partire dal pomeriggio del 2 luglio 2021, la banda del ransomware REvil, alias Sodinokibi, ha preso di mira gli MSP con migliaia di clienti, attraverso quello che sembra essere un attacco alla catena di fornitura dai servizi erogati da Kaseya VSA.

In questi  giorni, otto grandi MSP noti sono stati colpiti come parte di questo attacco alla supply-chain.

Kaseya VSA è una piattaforma MSP basata su cloud che consente ai provider di eseguire la gestione delle patch e il monitoraggio dei client per i propri clienti.

John Hammond di Huntress Labs ha dichiarato che tutti gli MSP interessati utilizzano Kaseya VSA e che hanno la prova che anche i dati dei loro clienti vengono crittografati.

“Stiamo monitorando 20 MSP in cui Kaseya VSA è stato utilizzato per crittografare oltre 1.000 aziende e stiamo lavorando in stretta collaborazione con sei di loro”, ha condiviso Hammond in un post sul blog sull’attacco.

Kaseya ha emesso un avviso di sicurezza sul sito dell’help desk, avvertendo tutti i clienti VSA di spegnere immediatamente il proprio server VSA per impedire la diffusione dell’attacco durante le indagini.[/vc_column_text][vc_zigzag][quote]”Stiamo vivendo un potenziale attacco contro VSA che è stato limitato a un piccolo numero di clienti on-premise solo a partire dalle 2:00 PM EDT oggi. Siamo indagando sulla causa principale dell’incidente con la massima cautela, ma consigliamo ai nostri clienti di spegnere immediatamente il server VSA fino a quando non riceverete un ulteriore segnalazione da parte del nostro team. È fondamentale venga fatto immediatamente, perché una delle prime cose che l’utente malintenzionato è quello di prendere il controllo amministrativo di VSA. “[/quote][vc_zigzag][vc_column_text]In una dichiarazione, Kaseya ha dichiarato di aver chiuso i loro server SaaS e stanno lavorando con altre imprese di sicurezza per indagare sull’incidente.

La maggior parte degli attacchi di ransomware su larga scala sono stati condotti in tarda notte durante il fine settimana quando c’è meno personale per monitorare la rete.

Poiché questo attacco è avvenuto a mezzogiorno di venerdì, gli attori della minaccia probabilmente hanno pianificato in tempo  per far coincidere l’attacco  con il 4 luglio negli Stati Uniti, giorno di festa nazionale, cosa che porta ad avere un ridotto numero di persone di presidio nelle infrastrutture IT.

Revil si diffonde attraverso l’aggiornamento automatico

Ai ricercatori  è stato riferito dalla Huntress ‘John Hammond e Sophos’ Mark Loman che gli attacchi su MSP sembrano essere un attacco a catena di approvvigionamento attraverso Kaseya VSA.

Secondo Hammond, Kaseya VSA vedrà un file Agent.crt nella cartella C: \ Kworking, che viene distribuito come aggiornamento chiamato “Kaseya VSA Agent Hot-Fix”.

Un comando PowerShell viene quindi avviato il quale prima disabilita le varie funzioni di sicurezza di Microsoft Defender, come il monitoraggio in tempo reale, l’accesso alla cartella controllata, la scansione dello script e la protezione della rete.

Modifica quindi il file Agent.crt utilizzando il comando legittimo Windows Certutil.exe per estrarre un file Agent.exe nella stessa cartella, il quale una volta avviato comincerà  il processo di crittografia.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/powershell-command.png” alt=”ransomware revil powershell command”][vc_column_text]Agent.exe è firmato utilizzando un certificato di  “Pb03 Transport Ltd” e include un “msmpng.exe” incorporato e ‘mpsvc.dll’ e ‘mpsvc.dll,’ con la DLL è il criptor Revil. Se estratto, vengono inseriti “msmpng.exe” e ‘mpsvc.dll’ nella cartella C: \ Windows.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/signed-executable.png” width=”500″ alt=”File Agent.exe firmato.”][vc_column_text]Msmpeng.exe è una versione precedente del legittimo eseguibile Microsoft Defender utilizzato come lolbin per avviare la DLL e crittografare il dispositivo attraverso un eseguibile attendibile.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/reverse.png”][vc_column_text]Alcuni dei campioni analizzati aggiungono chiavi e configurazioni di Registry.

Ad esempio, un campione [VirustoTal] installato da nostri ricercatori aggiunge la chiave HKLM \ Software \ wow6432node \ Blacklives Matter per memorizzare le informazioni di configurazione dall’attacco.

Intel’s Vitali Kremez ha detto che un altro esempio configura il dispositivo per avviare Revil Safe Mode con la password predefinita “Dtrump4ever”.[/vc_column_text][vc_empty_space height=”20px”][vc_column_text]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"

[/vc_column_text][vc_empty_space height=”20px”][vc_column_text]Il CEO di Kaseya Fred Voccola ha detto che una vulnerabilità in Kaseya VSA è stata utilizzata durante l’attacco e che una patch sarà rilasciata non appena possibile.[/vc_column_text][vc_zigzag][quote]”Mentre la nostra indagine è in corso, fino ad oggi, crediamo che:

I nostri clienti SaaS non siano mai stati a rischio. Ci aspettiamo di ripristinare il servizio a quei clienti una volta confermato che non sono a rischio, il che ci pensiamo sarà entro le prossime 24 ore;
Solo una percentuale molto piccola dei nostri clienti è stata colpita – attualmente stimata in meno di 40 in tutto il mondo.
Crediamo che abbiamo identificato la fonte della vulnerabilità e stiamo preparando una patch per i nostri clienti locali che verranno testati accuratamente. Rilasciamo quella patch il più rapidamente possibile per ripristinare in sicurezza i nostri clienti. “- Kaseya.[/quote][vc_zigzag][vc_column_text]

Ransomware REvil Gang richiede un riscatto da $ 5 milioni

Un campione di Revil Ransomware utilizzato in uno di questi attacchi è stato condiviso con dei ricercatori. Tuttavia, è sconosciuto se questo è il campione utilizzato per ogni vittima o se ogni MSP ha ricevuto la propria richiesta di riscatto.

La banda di ransomware richiede un riscatto da $ 5.000.000 per ricevere un decifratore da uno dei campioni.[/vc_column_text][image style=”no-style” position=”below” src=”https://www.cyberteam.info/wp-content/uploads/2021/07/revil-ransom-demand.png” width=”700″ alt=”File Agent.exe firmato.”][vc_column_text]Secondo il  CTO di Emsisoft, Fabian Wosar, i clienti MSP che sono stati colpiti dall’attacco hanno ricevuto una richiesta di riscatto molto più piccola, pari a $ 44,999.

Mentre il revil è noto per rubare i dati prima di distribuire i dispositivi di ransomware e crittografia, è sconosciuto se gli attaccanti hanno esflitrato alcun file.

I MSP sono un obiettivo di alto valore per le bande di ransomware in quanto offrono un canale facile per infettare molte aziende attraverso una singola violazione, tuttavia gli attacchi richiedono una conoscenza approfondita degli MSP e il software che usano.

Revil ha un affiliato esperto nella tecnologia utilizzata da MSPS in quanto ha una lunga storia di attacchi verso queste aziende e il software comunemente usato da loro.

Nel giugno 2019, un Affiliato Revil ha attaccato un MSPS tramite Desktop remoto e ha quindi utilizzato il loro software di gestione per  forzare l’installazione di ransomware  su tutti gli endpoint in loro gestione.

Si ritiene che questo affiliato abbia precedentemente lavorato con Gandcrab, che ha anche condotto con successo attacchi contro MSP nel gennaio 2019.

Questa è una storia in via di sviluppo e continuerà a essere aggiornata.[/vc_column_text]

FILA HASH CONOSCIUTI PER QUESTO RANSOMWARE

FILE	HASH	TYPE
agent.crt	2093c195b6c1fd6ab9e1110c13096c5fe130b75a84a27748007ae52d9e951643	SHA 256
agent.exe	d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e	SHA 256
mpsvc.dll	d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e	SHA 256
empsvc.dlL	8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd	SHA 256

[/vc_column][/vc_row]